【導(dǎo)讀】XX用戶IT-終端安全標(biāo)準(zhǔn)化-1期

　　

【正文】 期 總體方案 第 23 頁(yè) 上海 xx 公司 軟件有限公司 ? 按 F12 確認(rèn)從網(wǎng)絡(luò)啟動(dòng) ? 輸入用戶名和密碼確認(rèn)是合法的用戶 ? 以后的過(guò)程全部自動(dòng)完成，包括： ? 自動(dòng)格式化 C 盤 ? 自動(dòng)將通用鏡像安裝在 C 盤 ? 自動(dòng)安裝驅(qū)動(dòng)程序 ? 自動(dòng)根據(jù)角色安裝非公用程序 ? 自動(dòng)加入域指定 OU ? 根據(jù)需要是否將域用戶提升為本機(jī)管理員 . 數(shù)據(jù)庫(kù) 導(dǎo)入 設(shè)計(jì) 正常安裝操作系統(tǒng)時(shí)要輸入機(jī)器名， Windows Key 等各種參數(shù)，為了實(shí)現(xiàn)全自動(dòng)部署，這些參數(shù)事先要 全部錄入到數(shù)據(jù)庫(kù)。 MDT 2020 提供了圖形界面錄入方法，但這種方式錄入效率非常低，所以需要提供一種批量導(dǎo)入的方法。 管理員事先將一些數(shù)據(jù)整理到 Excel，這些 數(shù)據(jù)可以從已有的系統(tǒng)導(dǎo)出，例如機(jī)器名、 Service Tag、域內(nèi) OU、使用人、域帳號(hào)，部門、角色等，然后統(tǒng)一導(dǎo)入到 MDT 數(shù)據(jù)庫(kù)。 . Service Tag 流程設(shè)計(jì) 每臺(tái)計(jì)算機(jī)都有一個(gè) Service Tag（如果沒有則需要廠家刷 BIOS） 而且是唯一的 ， 部署 時(shí)根據(jù) Service Tag 作為唯一標(biāo)識(shí)。如果 部署 時(shí) Service Tag 沒在數(shù)據(jù)庫(kù)則 部署過(guò)程 終 止并彈出對(duì)話框通知 管理員 。 . 角色流程設(shè)計(jì) 不同的角色安裝不同的應(yīng)用程序集 列表 。 例如資金部安裝資金部相關(guān)的軟件， 開發(fā) 部安裝 開發(fā) 部相關(guān)的軟件。 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 24 頁(yè) 上海 xx 公司 軟件有限公司 . 計(jì)算機(jī)型號(hào)流程 設(shè)計(jì) 計(jì)算機(jī)更新非?？?，難免會(huì)出現(xiàn)新購(gòu)計(jì)算機(jī)的驅(qū)動(dòng)程序未 及時(shí) 導(dǎo)入到 MDT驅(qū)動(dòng)庫(kù)。如果 部署時(shí) 沒有該型號(hào)的驅(qū)動(dòng)程序，則彈出對(duì)話框通知管理員，然后 部署 繼續(xù)， 一旦部署 完成后 由管理員 手工安裝驅(qū)動(dòng)程序，管理員確認(rèn)驅(qū)動(dòng)沒有問題后再導(dǎo)入到 MDT 驅(qū)動(dòng)庫(kù)。 . 安裝標(biāo)志流程設(shè)計(jì) 用戶 自助部署時(shí) 需向 IT 部門提交申請(qǐng)，管理員確認(rèn)后會(huì)修改安裝標(biāo)志，只有安裝標(biāo)志允許的計(jì)算機(jī)才允許 部署 ，否則自動(dòng)部署過(guò)程 終 止并彈出對(duì)話框通知管理員。 成功 部署完成后 自動(dòng) 重置安裝標(biāo)志為 否。 注： 重置安裝標(biāo)志需要對(duì)數(shù)據(jù)庫(kù)寫操作，可能造成安全隱患，所以通過(guò)調(diào)用webservice 完成。 . 磁盤規(guī)則設(shè)計(jì) 舊機(jī)磁盤規(guī)則 ? 一個(gè)硬盤 ? 兩個(gè)以上分區(qū) ? 第一個(gè)主分區(qū)大于 20G 新機(jī)磁盤規(guī)則 ? 一個(gè)硬盤 ? 刪除所有分區(qū)（含出廠自定義分區(qū)） ? 第一個(gè)主分區(qū) 20G ? 其它擴(kuò)展分區(qū) ? 第一個(gè)邏輯分區(qū) 30G ? 其它作為第二個(gè)邏輯分區(qū) 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 25 頁(yè) 上海 xx 公司 軟件有限公司 . 歸庫(kù)流程設(shè)計(jì) 員工將 計(jì)算機(jī)歸還時(shí)稱為歸庫(kù)。 歸 還 時(shí)計(jì)算機(jī)上可能留有重要數(shù)據(jù)，這些數(shù)據(jù)并不希望下一位使用者 /借用者看到，所以需要?dú)w庫(kù)處理。 歸庫(kù)時(shí)，管理員設(shè)置歸庫(kù)標(biāo)志， 部署時(shí) 計(jì)算機(jī)根據(jù) 新機(jī)磁盤規(guī)則 格式化 ，格式化完成后部署過(guò)程正常 結(jié)束 。 成功歸庫(kù)完成后自動(dòng)重置 歸庫(kù) 標(biāo)志為否。 注：重置安裝標(biāo)志需要對(duì)數(shù)據(jù)庫(kù)寫操作，可能造成安全隱患，所以通過(guò)調(diào)用webservice 完成。 . 新舊 機(jī)器 標(biāo)志 流程設(shè)計(jì) 新舊 機(jī)器 標(biāo)志由管理員手工維護(hù)。 部署時(shí) 發(fā)現(xiàn)新機(jī)器標(biāo)志時(shí)， 按照新機(jī)磁盤規(guī)則處理，然后全自動(dòng)部署。部署完成后自動(dòng)重置新舊機(jī)器標(biāo)志為 舊 。 部署時(shí)發(fā)現(xiàn)舊機(jī)器標(biāo)志時(shí)，按照 舊 機(jī)磁盤規(guī)則處理， 如果符合則 全自動(dòng)部署 ，否則部署過(guò)程終止并彈出對(duì)話框通知管理員 . 終端安全設(shè)計(jì) . 用戶權(quán)限設(shè)計(jì) 根據(jù)最小權(quán)限最大安全原則，設(shè)計(jì)如下： ? 盡量只給 Domain Users 組 權(quán)限 ? 定期重置本機(jī)管理員密碼 ? 定期禁 用本機(jī) guest 帳號(hào) ? 根據(jù)用戶分類定期權(quán)限受限 ，例如使用受限組 . 個(gè)人防火墻設(shè)計(jì) 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 26 頁(yè) 上海 xx 公司 軟件有限公司 Windows XP SP2 以上 的個(gè)人防火墻基于 Windows 內(nèi)核，安全性非常高，一般沒有必要安裝第三方防火墻。建議如下： ? 啟用 Windows XP 自帶防火墻，開啟防火墻日志 ? 強(qiáng)制開啟共享目錄，但只有指定服務(wù)器列表才能訪問。如果用戶 需要交換資料，建議通過(guò)郵件、服務(wù)器中轉(zhuǎn)站，旺旺傳輸?shù)葘?shí)現(xiàn) . 軟件更新設(shè)計(jì) 通過(guò) SCCM 實(shí)現(xiàn)。 . 防病毒軟件設(shè)計(jì) 對(duì)于沒有安裝防病毒軟件的 列表 ，通過(guò) SCCM 自動(dòng)分發(fā)防病毒軟件。 . 屏幕保護(hù)設(shè)計(jì) 有些用戶臨時(shí)走開不習(xí) 慣鎖定計(jì)算機(jī)，這可能會(huì)泄漏企業(yè)敏感信息，建議啟用屏幕保護(hù)，設(shè)計(jì)如下： 高層領(lǐng)導(dǎo)：屏保 30 分鐘 普通員工：屏保 10 分鐘 資金部：屏保 3 分鐘 . 日志審計(jì)設(shè)計(jì) 開啟每臺(tái)終端的日志審計(jì) ，特別是安全事件審計(jì) ， 審核成功與失敗，時(shí)間保留三個(gè)月 。 . MBSA 設(shè)計(jì) 通過(guò) MBSA 定期掃描域內(nèi)所有終端，根據(jù) MBSA 報(bào)表改進(jìn)安全性。 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 27 頁(yè) 上海 xx 公司 軟件有限公司 . DCT 設(shè)計(jì) DCT 是組策略的增強(qiáng)，特別適用安全性非常高的終端 ，例如對(duì)于資金部的終端 ，通過(guò)配置 DCT 設(shè)計(jì)如下： ? 不能看到 C 盤，更不能操作 C 盤 ? 只能操作指定數(shù)據(jù)盤，例如只對(duì) D 盤有讀寫權(quán)限 ? 不能使用移動(dòng)存 儲(chǔ) ? 只能使用白名單程序 ? 通過(guò) IE 只能訪問白名單列表 . 應(yīng)用程序設(shè)計(jì) 很多終端安全問題是由第三方應(yīng)用程序引起的 ，所以需要合理規(guī)范應(yīng)用程序名單。 應(yīng)用程序分類如下： ? 白名單：企業(yè)授權(quán)可以安裝的軟件 ? 黑名單：企業(yè)明確禁用的應(yīng)用軟件 ? 灰名單：企業(yè)可以忽略的應(yīng)用軟件 設(shè)計(jì)如下： ? 白名單：通過(guò) MDT 新機(jī)部署時(shí)安裝，或通過(guò) SCCM 軟件分發(fā)實(shí)現(xiàn)。 ? 黑名單：通過(guò) SCCM 定期執(zhí)行刪除操作 ，或通過(guò)域策略執(zhí)行限制操作 ? 灰名單 ：不操作，列入 SCCM 報(bào)表 以便分析 . 部署流程設(shè)計(jì) . 新裝 終端流程設(shè)計(jì) 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 28 頁(yè) 上海 xx 公司 軟件有限公司 E n d終 端 應(yīng) 用 程 序 部 署 終 端 Ｏ Ｓ 部 署終 端 安 全 配 置是 否公 司 資 產(chǎn)判 斷 D B 中裝 機(jī) 標(biāo) 志Y e sN O提 示 ：返 回 H e l p D e s k 補(bǔ) 單提 示“ 未 經(jīng) I T 許可 ， 無(wú) 法 安裝 ”歸 庫(kù) 處 理F 1 2 P X E 啟 動(dòng)是 否“ 授 權(quán) 安 裝 ”是 否“ 歸 庫(kù) 處 理 ”N oy e sY e s是 否“ 符 合 磁 盤 規(guī)則 ”提 示“ 非 常 規(guī) 硬盤 ， 需 I T 支持 ”N ON O讀 取 B i o s 數(shù) 據(jù)讀 數(shù) 據(jù) 庫(kù)匹 配 “ S N ”Y e s是 否公 司 員 工Y e s提 示 ：無(wú) 權(quán) 安 裝N O判 斷 D B 中歸 庫(kù) 標(biāo) 志E x i t . 已 有終端 流程設(shè)計(jì) 是 否匹 配Y e sN O 腳 本 重 新 命 名讀 D B“ S N ”已 存 在 的P C 標(biāo) 準(zhǔn)化 處 理讀 D B匹 配“ P c _ n a m e ”讀 D B“ 安 全 組 ”根 據(jù) 計(jì) 算 機(jī) 類別更 新 S N 是 否匹 配Y e sN更 新 本 地 安 全配 置 讀 D B“ 應(yīng) 用 角 色 ”根 據(jù) 計(jì) 算 機(jī) 類別根 據(jù) 白 名 單 ；更 新 本 地 應(yīng) 用部 署是 否 強(qiáng) 制 優(yōu) 化Y e sN o只 出 報(bào) 告是 否可 “ 重 裝 ”提 示 ：F 1 2 》 進(jìn) 入 安裝 過(guò) 程y e sN O重 新 部 署 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 29 頁(yè) 上海 xx 公司 軟件有限公司 . 硬件設(shè)計(jì) 杭州的 SCCM 服務(wù)器由于安裝 SQL 數(shù)據(jù)庫(kù)，所以 需要考慮內(nèi)存 。 杭州的 MDT 服務(wù)器主要存放操作系統(tǒng)、應(yīng)用程序和驅(qū)動(dòng)程序，所以 需要考慮磁盤空間 。 上海和成都的 SCCM 服務(wù)器由于沒有數(shù)據(jù)庫(kù)，只起到代理的作用，所以標(biāo)準(zhǔn)PC 服務(wù)器配置就可以了。 上海和成都的 MDT 服務(wù)器只是一個(gè)部署點(diǎn)，相當(dāng)于文件服務(wù)器，所以 需要考慮磁盤空間 。 XX 用戶 分支機(jī)構(gòu)都 200，所以分支機(jī)構(gòu) 的 SCCM 服務(wù)器和 MDT 服務(wù)器可以合二為一。 綜上所述， 硬件設(shè)計(jì)如下： PC 服務(wù)器參考配置 備注 杭州 SCCM CPU *8 核 /8G/300G*2 RAID 1 杭州 MDT CPU *8 核 /4G/300G*3 RAID 5 上海 SCCM+MDT CPU *4 核 /4G/300G*3 RAID 5 如果利舊， 可用 磁盤空間 大于 40G 成都 SCCM+MDT CPU *4 核 /4G/300G*3 RAID 5 . 軟件設(shè)計(jì) 杭州 SCCM 由于安裝 SQL 數(shù)據(jù)庫(kù)且配置 8G 內(nèi)存，所以安裝 x64 版本。 Windows 2020 比 Windows 2020 更安全穩(wěn)定，建議都安裝 Windows 2020。 SQL 2020 比 SQL 2020 更 安全穩(wěn)定，建議安裝 SQL 2020。 綜上所述， 軟件設(shè)計(jì)如下： 軟件參考配置 備注 杭州 SCCM Window 2020 x64 簡(jiǎn)體中文標(biāo)準(zhǔn)版 SQL 2020 x64 簡(jiǎn)體中文標(biāo)準(zhǔn)版 SCCM 2020 SP1 x64/x86 簡(jiǎn)體中文版 杭州 MDT Windows 2020 x64 簡(jiǎn)體中文標(biāo)準(zhǔn)版 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 30 頁(yè) 上海 xx 公司 軟件有限公司 MDT 2020 Update 1 x64（英文版） 上海 SCCM+MDT Windows 2020 x64 簡(jiǎn)體中文標(biāo)準(zhǔn)版 如果利舊， Windows 2020 SP2 以上 成都 SCCM+MDT Windows 2020 x64 簡(jiǎn)體中文標(biāo)準(zhǔn)版 . 權(quán)限 設(shè)計(jì) 根據(jù)最小權(quán)限最大安全原則， 權(quán)限設(shè)計(jì)如下： ? SCCM 服務(wù)器 和 MDT 服務(wù)器 使用的管理員帳號(hào)都是普通域用戶和本機(jī)管理員權(quán)限 ? 報(bào)表權(quán)限 精確到 只 能普通域用戶權(quán)限 ，而且只開放指定報(bào)表 ? 部署時(shí)對(duì) 數(shù)據(jù)庫(kù) 只讀權(quán)限 5. 項(xiàng)目計(jì)劃 . 項(xiàng)目 進(jìn)度 . 項(xiàng)目人員 上海 xx 公司 項(xiàng)目經(jīng)理：俞海華 項(xiàng)目成員 （杭州） ：李炳峰，李淵 項(xiàng)目成員 （上海） ：翁廷國(guó)，趙斌 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 31 頁(yè) 上海 xx 公司 軟件有限公司 XX 用戶 項(xiàng)目經(jīng)理：安 之泉 項(xiàng)目成員：辛浩，馮磊 . 文檔交付 《總體方案 》 《 測(cè)試方案 》 《部署手冊(cè)》 《運(yùn)維手冊(cè)》 《試 運(yùn)行報(bào)告》 《驗(yàn)收?qǐng)?bào)告》 6. 培訓(xùn) 計(jì)劃 培訓(xùn)意義 在大型系統(tǒng)集成項(xiàng)目的實(shí)施過(guò)程中，技術(shù)培訓(xùn)的完成情況將直接影響到系統(tǒng)的使用情況，同時(shí)全面的技術(shù)培訓(xùn)對(duì)于提高用戶對(duì)系統(tǒng)的管理和維護(hù)水平，保障用戶應(yīng)用的穩(wěn)定運(yùn)行將會(huì)起著重要作用，因此技術(shù)培訓(xùn)是整個(gè) 項(xiàng)目 中極為重要的一環(huán)。 培訓(xùn)內(nèi)容 ? 項(xiàng)目介紹 ? 項(xiàng)目部署 ? 項(xiàng)目運(yùn)維 ? AD 優(yōu)化 建議 ? VBScript 基礎(chǔ) 與 技巧 支付寶 IT終端安全標(biāo)準(zhǔn)化 1 期 總體方案 第 32 頁(yè) 上海 xx 公司 軟件有限公司 培訓(xùn)時(shí)間 與用戶方商定。 培訓(xùn)地點(diǎn) 由用戶方指定。 7. 技術(shù)支持 . 解決事件 XX 用戶 可以每周 5 天，每天 8 小時(shí)通過(guò)電話找到 xx 公司 的支持工 程師 來(lái)解決 本項(xiàng)目范圍內(nèi)的 技術(shù)問題。 . 遠(yuǎn)程診斷與調(diào)試 基于 XX 用戶 的請(qǐng)求， xx 公司 可以遠(yuǎn)程撥入 XX 用戶 的系統(tǒng)幫助分析問題。這項(xiàng)服務(wù)只在 XX 用戶 許可的情況下進(jìn)行，并且 xx 公司 的工程師只 能 訪問被許可的系統(tǒng)。 . 緊急現(xiàn)場(chǎng)服務(wù) 在緊急情況下， XX 用戶 可以請(qǐng)求緊急現(xiàn)場(chǎng)服務(wù)。 如服務(wù)內(nèi)容超出本項(xiàng)目范圍，根據(jù) 所 需 完成的任務(wù)基于當(dāng)時(shí)的情況、環(huán)境和對(duì)業(yè)務(wù)的影響，由雙方共同商定。